Kritische Schwachstelle in Argo CD

Über die nun geschlossene Lücke können Angreifende alle mit einem Projekt zusammenhängenden Repository-Anmeldedaten abgreifen. Ursache für dieses Fehlverhalten ist eine fehlerhafte Verarbeitung der Berechtigungen, die auf dem API-Token hinterlegt sind. Derartige Token werden verhältnismäßig häufig verwendet, so dass die Wahrscheinlichkeit einer Ausnutzung entsprechend hoch ist.

Die Schwachstelle besitzt die Kennung CVE-2025-55190 (EUVD-2025-26875) mit einem CVSS-Base-Score von 9.9/10. Betroffen sind folgende Versionen von Argo CD:

• 3.1.0-rc1 bis 3.1.1
• 3.0.0 bis 3.0.12
• 2.14.0 bis 2.14.15
• 2.13.0 bis 2.13.8

Argo CD ist ein weit verbreitetes Continuous-Delivery-Tool für Kubernetes. Auch große Unternehmen wie Adobe, Google, IBM und Red Hat setzen das Tool ein. Kubernetes ist ein Open-Source-Orchestrierungssystem für Container-Anwendungen.

Aktualisieren Sie Argo CD auf eine der folgenden sichereren Versionen:

• 3.1.2
• 3.0.14
• 2.14.16
• 2.13.9